简介:
https 握手的过程,证书的颁发,下面一一讲来。
原理如下图,服务器与客户端的证书都是对等的
证书生成步骤:
第一步:
服务器生成自己的CA主证书
第二步:
生成服务器端证书
第三步:
用服务器生成的CA主证书,给服务器证书签证
第四步:(如果客户端是另外一台服务器,也需要)
把CA 证书放到OS的证书库里面
具体实现:
生成根密钥:
cd /etc/pki/CA/
touch ./{serial,index.txt}
echo "00" > serial
openssl genrsa -out private/cakey.pem 2048
生成主证书:
openssl req -new -x509 -key private/cakey.pem -days 3650 -out cacert.pem
生成nginx key与证书:
cd /etc/ssl/
openssl genrsa -out nginx.key 2048
openssl req -new -key nginx.key -out nginx.csr
用主证书签发生成nginx 证书
openssl ca -in nginx.csr -days 3650 -out nginx.crt
cp /etc/pki/tls/certs/ca-bundle.crt{,.bak}
cat /etc/pki/CA/cacert.pem >> /etc/pki/tls/certs/ca-bundle.crt #因为是自签的证书,此步骤的意义在于让系统接受该证书